Mạng khả trình (SDN) là công nghê mạng mới, cho phép điều hành hệ thống mạng bằng bộ điều khiển trung tâm có khả năng lập trình. Dịch vụ quản lý topology phát hiện và quản lý các liên kết, các switch, host trong SDN. Là 1 dịch vụ quan trọng liên quan chặt chẽ đến các thành phần điều khiển, ứng dụng trong SDN Kẻ tấn công có thể sử dụng host hoặc switch bị thỏa hiệp để tấn công giả mạo vào dịch vụ quản lý topology. Giải pháp thực hiện: Xây dựng hệ thống phát hiện và phòng chống tấn công gồm 2 mô đun: Mô đun phát hiện tấn công. Mô đun phòng chống tấn công
Trang 1ĐỀ TÀI: XÂY DỰNG HỆ THỐNG PHÁT HIỆN VÀ
PHÒNG CHỐNG TẤN CÔNG TRÊN NỀN TẢNG MẠNG
KHẢ TRÌNH- PHÂN HỆ PHÁT HIỆN TẤN CÔNG
GIẢ MẠO TOPOLOGY
ĐỒ ÁN TỐT NGHIỆP
Sinh viên thực hiện: Nguyễn Hoàng Sơn 20112073
TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI VIỆN CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG
Lớp CNTT-TT 1.1 K56 Giảng viên hướng dẫn: ThS Bùi Trọng Tùng
1
Trang 2Nội dung trình bày
Đặt vấn đề
Giải pháp thực hiện
Mô đun phát hiện tấn công
Xây dựng hệ thống thử nghiệm
Trang 3Đặt vấn đề
phép điều hành hệ thống mạng bằng bộ điều khiển
trung tâm có khả năng lập trình
kết, các switch, host trong SDN
thành phần điều khiển, ứng dụng trong SDN
hiệp để tấn công giả mạo vào dịch vụ quản lý
topology
3
Trang 4Giải pháp thực hiện
Xây dựng hệ thống
phát hiện và phòng
chống tấn công gồm 2
mô đun:
- Mô đun phát hiện
tấn công
- Mô đun phòng chống
tấn công
Trang 5Giải pháp thực hiện
Mạng khả trình (SDN)
Software Defined Networking: Mạng định nghĩa bằng
phần mềm
phần điều khiển được cung cấp khả năng lập trình và
giao tiếp với
phần chuyển
tiếp qua các
giao thức
truyền thông
5
Trang 6Giải pháp thực hiện
OpenFlow
Controll Layer và Infrastructure Layer
qua giao thức OpenFlow
Trang 7Giải pháp thực hiện
Cơ chế chuyển tiếp gói tin trong OpenFlow
7
OpenFlow Controller
OF Protocol
OpenFlow Switch
Flow Tables Execute Actions
Trang 8Giải pháp thực hiện
Dịch vụ quản lý topology
Layer Discovery Protocol) để khám phá các liên kết
trực tiếp giữa các OFSwitch trong mạng
DI_dst DI_src Eth_type Chassis ID
TLV Port ID TLV TTL TLV Optional TLVs End TLV
01:80:C2:00:00:0E Outgoing
Port MAC 0x88CC DPID of Switch Port Number of Switch Time to Live Description E.g System End Sign of LLDP
Trang 9Giải pháp thực hiện
Quy trình khám phá liên kết trực tiếp giữa các Switch
gồm 3 bước
Lỗ hổng trong quy trình khám phá liên kết trực tiếp giữa
các Switch :
phạm
9
Trang 10Mô đun phát hiện tấn công
Giải pháp phòng chống
tính toàn vẹn/nguồn gốc
Value
DI_dst DI_src Eth_typ
e Chassis ID TLV Port ID TLV TTL TLV macTLV Optional TLVs End TLV
01:80:C2:00:00:
0E
Outgoing Port MAC
0x88CC DPID of
Switch
Port Number of Switch
Time to Live
Type, Length, Value
E.g System Description
End Sign
of LLDP
Trang 11Mô đun phát hiện tấn công
11
<DPID, Port Number, Value>
Trang 12Mô đun phát hiện tấn công
để xác minh tính chất của cổng
HOST ANY
ATTACK
LLDP packet
Host traffic Port down
Trang 13Xây dựng hệ thống thử nghiệm
Hệ thống thử nghiệm
Trang 14Kết quả, đánh giá và kết luận
Kết quả
LLDP
Trang 15Kết quả, đánh giá và kết luận
15
Trang 16Kết quả, đánh giá và kết luận
Trang 17Kết quả, đánh giá và kết luận
Đánh giá
17
Thời gian thêm
trường macTLV(a)
Tổng thời gian
(b)
Tỷ lệ (%) a/b
Xây dựng gói
tin LLDP lần
đầu tiên
Xây dựng gói
tin LLDP các
lần tiếp theo
Xác minh gói
tin LLDP ≈ 0,8 µ s ≈ 128 µ s 0,625%
Trang 18Kết quả, đánh giá và kết luận
Kết luận
giả mạo topology sử dụng gói tin LLDP giả mạo
công, tạo thành một hệ thống hoàn chỉnh